Elido
Trust Center

Доверие, зафиксированное.

Elido - EU-хостинг по умолчанию, GDPR-friendly, с audit trail из коробки. Всё ниже - то, что мы уже делаем, не планы.

Прочитать DPA[email protected]
SOC 2 Type II
ISO 27001
GDPR
HIPAA-aware (Business)
EU-residency
Регион рабочего пространства · закрепить однажды
необратимо при создании
  • Регион ЕСEU
    EU residency · по умолчанию

    По умолчанию для каждого рабочего пространства. Аудит-лог, клики, бэкапы остаются в регионе. Без зависимости от DPF или Schrems II.

  • Восток СШАUS
    Опционально

    Только при создании пространства. Необратимо. Для клиентов-резидентов США, которым нужен путь данных в США.

  • Азиатско-Тихоокеанский регионAPAC
    Business+ · опционально

    Только при создании пространства. Необратимо. APAC-residency для тарифов Business и Enterprise.

Без межрегиональной репликации для горячих данныхаудит · клики · бэкапы
5
Субподрядчиков, публичный список
90д
Аудит на Pro (7 лет на Business)
30д
SLA DSAR (5д ускоренно на Business)
0
Межрегиональных передач горячих данных

Что «доверие» означает в продуктовых терминах

Что мы имеем в виду под доверием

Каждый пункт соответствует чему-то конкретному, что можно найти в аудит-логе, DPA или нашем публичном репозитории инфраструктуры. Без маркетинговой двусмысленности.

EU-residency по умолчанию

Все операционные данные остаются в регионе ЕС. Business может закрепить восток США или Азиатско-Тихоокеанский регион. Free + Pro никогда не покидают ЕС.

Audit trail на всё

Настройки воркспейса, смены ролей, ротации ключей, создание/удаление ссылок, экспорт. Каждое событие имеет who/when/what - экспортируется.

Read-only по умолчанию для AI

AI-интеграции получают scoped, ротируемые ключи. Запись/удаление - отдельная явная настройка с аудитом.

BYOK и customer-managed keys

Свой KMS для шифрования at-rest на Business. Ротируйте ключи без перешифровки cold storage.

Anti-abuse pipeline

Каждая ссылка проходит через композитный сканер (URLhaus + Google Safe Browsing + эвристика) на создании и ещё раз - повторным воркером.

Прозрачность sub-processors

Полный список, локация, назначение. Уведомляем при добавлении; для части есть opt-out.

Append-only audit log

Каждое изменение состояния записывается.

Append-only гарантируется на уровне базы: таблица аудита разрешает ролям приложения только INSERT и SELECT, без UPDATE и DELETE. Даже наши собственные администраторы не могут переписать историю без миграции, которая проходит через change control. Срок хранения - 90 дней на Pro и 7 лет на Business - покрывает SOX, MiFID II и HIPAA без доплат.

  • Личность инициатора
    ID пользователя или сервисного принципала, IP-адрес источника и request ID
  • Diff до/после
    Структурированный JSON-diff изменённой строки - не просто текстовая запись лога
  • Поток в SIEM
    Webhook с HMAC-подписью в Splunk / Datadog / ELK в реальном времени
  • Защита от подделки
    Принудительные GRANT базы данных; никаких UPDATE / DELETE для ролей приложения
Обзор безопасности →
Запись аудита · evt_8c41a7
domain.claim · ws_8a2f
Инициатор
[email protected]
Время (UTC)
2026-05-08T11:42:18Z
IP источника
203.0.113.42 · DE
Источник
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Тип события
domain.claim
Строки diff
+3 / -2
Хранение
7 лет (Business)
Append-only · принудительно через GRANT базы данныхТранслируется в SIEM

Запросы субъектов данных

Права субъектов через API.

Вы получаете запрос от своего конечного пользователя. Пересылаете его через панель или API как запрос «контролёр-от-имени-субъекта» - Elido аутентифицирует контролёра (вас), а не субъекта. Бандл - это подписанный zip: запись личности, ссылки, записи аудит-лога, где субъект - инициатор, биллинговые квитанции, если субъект - владелец рабочего пространства. Стандартный SLA - 30 дней; ускоренный тариф Business - 5 рабочих дней.

  1. Шаг 1

    Запрос субъекта

    Конечный пользователь → контролёр (вы)

    Субъект обращается к вам. Вы аутентифицируете его в своём продукте, не в Elido.

  2. Шаг 2

    Вызов DSAR API

    POST /v1/dsar

    Перешлите как запрос «контролёр-от-имени» с email субъекта и типом запроса (export / erase).

  3. Шаг 3

    Бандл рабочего пространства

    подписанный zip · JSON + CSV

    Личность, ссылки, записи аудит-лога с субъектом-инициатором, биллинг при владении, обезличенные метаданные кликов.

  4. Шаг 4

    SLA

    30 дней · 5 дней ускоренно

    Стандартный SLA на любом тарифе; ускоренный Business возвращает в течение 5 рабочих дней.

Прочитать DPA →Описание DSAR-эндпоинта → API

Пять субподрядчиков, публично перечисленных

Пять вендоров. Опубликованы.

Полный поименный список с расположением вендора, целями обработки, категориями данных и ссылкой на DPA находится на /legal/subprocessors. Добавление или замена субподрядчика запускает 30-дневное уведомление всем администраторам через in-app баннер и email до начала обработки, чтобы клиенты могли возразить.

Распределение субподрядчиков · поток данных рабочего пространства
5 вендоров · публичный список
Ваше рабочее пространство
ws_xxxx
Регион ЕС (по умолчанию)
  • Вычисления и хостингISO 27001
    Основная инфраструктура приложения и edge
    EU · Германия + Финляндия
  • Edge-вычисленияISO 27001 · SOC 2
    Региональные пины Business
    EU + APAC
  • Доставка почтыSOC 2 Type II
    Транзакционная почта
    EU (opt-out для EU-only)
  • ПлатежиPCI DSS L1
    Карточный эквайринг
    EU
  • CDN + WAFISO 27001 · SOC 2
    Маркетинговый прокси (не на пути редиректа)
    Глобально · EU-маршрутизация
Добавление вендора запускает 30-дневное уведомление клиентам/legal/subprocessors
Полный список субподрядчиков →Обзор безопасности → архитектура

Compliance-позиция

Где мы по фреймворкам, о которых спрашивают клиенты.

Никаких обещаний в будущем времени. Каждая строка говорит, что уже работает сегодня, что находится в наблюдении и что доступно как дополнение по контракту.

Достигнуто

ISO 27001

Система управления информационной безопасностью, сертифицированный объём покрывает всю платформу Elido.

В работе

SOC 2 Type II

Период наблюдения идёт до H2 2026. Отчёт Type I доступен под NDA уже сейчас.

По умолчанию

GDPR

EU-residency по умолчанию, предподписанная DPA со стандартными SCC, публичный список субподрядчиков.

Доступно

HIPAA-ready

BAA на Business+ с шифрованием, аудит-логом и контролем доступа из коробки.

По умолчанию

EU residency

Все операционные данные остаются в регионе ЕС. Без зависимости от Schrems II / DPF.

По умолчанию

Encryption

AES-256 в покое, TLS 1.3 в передаче, KMS-ротация ключей. BYOK на Business.

Compliance FAQ

Вопросы, которые procurement продолжает нам присылать.

Вы подписываете DPA?

Да. Наш стандартный DPA предподписан с EU SCC и доступен для скачивания на /legal/dpa. Для базовых условий переговоры не нужны - платные планы получают встречную подпись автоматически. Кастомные правки доступны на Business и Enterprise.

Сколько у вас субподрядчиков?

Пять, большинство в ЕС: вычисления + хостинг (ЕС), edge-вычисления для региональных пинов (ЕС + APAC), транзакционная почта (ЕС), платежи (ЕС) и маркетинговый прокси + WAF, который никогда не находится на пути редиректа. Полный поименный список с расположением, целью и ссылкой на DPA на /legal/subprocessors.

Доступен ли пин региона на каждом тарифе?

EU-residency - это значение по умолчанию для каждого рабочего пространства, на каждом тарифе, и оно никогда не меняется. Опциональный пин на восток США или в Азиатско-Тихоокеанский регион применяется только при создании пространства, необратим и доступен на тарифах Business и Enterprise.

Какие сроки обработки DSAR?

Стандартный SLA - 30 дней на любом тарифе. Business и Enterprise получают ускоренный тариф в 5 рабочих дней. DSAR подаются через API или панель (POST /v1/dsar) - вы аутентифицируете контролёра, мы аутентифицируем вас, бандл доставляется как подписанный zip с личностью, ссылками, записями аудит-лога и биллинговыми записями.

Как работают BAA для HIPAA?

BAA только на Business+. Технические меры (шифрование, аудит-лог, контроль доступа, безопасное резервное копирование) такие же, как на базовом тарифе - BAA это бумаги, а не feature-gating. Напишите на [email protected], чтобы начать.

Есть ли self-host?

Да. Уровень редиректа и click-ingester - open source под Apache 2.0 с Helm-чартом для Kubernetes. Клиенты запускают уровень редиректа в собственной VPC и подключают панель к нашему control plane, либо запускают весь стек on-prem. Репозиторий - это тот же код, что работает у нас.

Как вы уведомляете клиентов об изменениях субподрядчиков?

Добавление или замена субподрядчика запускает 30-дневное уведомление через in-app баннер и email каждому администратору рабочего пространства. Клиенты могут возразить до начала обработки. Список /legal/subprocessors зафиксирован в публичном git-репозитории, поэтому изменения видны в истории version-control.

Где вы публикуете инциденты и uptime?

Живой статус, недавние инциденты и полные post-mortem на /status. Инциденты, затрагивающие безопасность, также публикуются для подписчиков [email protected] и на странице Trust Center в рамках SLA-окна, определённого в DPA.

Куда смотреть дальше

Под каждым утверждением выше есть публичный документ. Если вы оцениваете нас для решения о закупке, начните отсюда.

Sub-processors

С кем мы делимся данными, где они и зачем.

DPA

Подпишите до обработки персональных данных ЕС.

Privacy

Что собираем, чего нет, сроки хранения.

Security

Архитектура, шифрование, секреты, threat model.

Status

Live uptime, инциденты, post-mortems.

Контакты

Вопросы по безопасности?

[email protected] для отчётов об уязвимостях (PGP доступен). [email protected] для SOC 2 / ISO / DPA. Ответ - в течение одного рабочего дня.

Безопасность

Отчёты об уязвимостях, security.txt, PGP-ключ. Отвечаем в течение одного рабочего дня.

[email protected]

Compliance

Запросы SOC 2 / ISO, встречная подпись DPA, уведомления о субподрядчиках, процесс BAA для HIPAA.

[email protected]

Sales

Enterprise-закупки, security-опросники и запросы по кастомным условиям.

[email protected]

Готовы, когда готов procurement.

Предподписанная DPA, публичный список субподрядчиков, аудит-лог на каждом тарифе. Начните бесплатно или поговорите с sales - мы ускорим security-опросник.

Посмотреть ценыСвязаться с отделом продаж